Назад | Перейти на главную страницу

Как разместить виртуальную машину в DMZ?

У меня есть сервер Ubuntu 12.04 с несколькими виртуальными машинами с KVM.

Я хотел бы разместить некоторые из этих виртуальных машин в Интернете, чтобы клиенты могли протестировать разрабатываемые нами продукты и сделать доступными другие продукты для демонстрационных целей.

Один из сетевых адаптеров сервера настроен с общедоступным IP-адресом. Однако, прежде чем раскрывать что-либо в Интернете, я хотел бы быть уверен, что если одна из виртуальных машин будет скомпрометирована, злоумышленник не достигнет остальных хостов.

Я бы хотел поместить эти виртуальные машины в DMZ.

Вот шаги, которые я планирую сделать:

  1. Создать нажмите интерфейс в хосте виртуализации (скажем, tap1)
  2. Создайте мост, используя tap1 и дайте ему IP-адрес в подсети, отдельной от других хостов. Допустим, 10.0.0.1
  3. Подключите виртуальные машины DMZ к мосту и настройте их IP статически (10.0.0.2, 10.0.0.3 и т. Д.)
  4. Используя UFW, запретить любой трафик с 10.0.0.0/24 на любой из внутренних хостов, позволять трафик от внутренних хостов к 10.0.0.0/24 и выставить виртуальные машины в Интернете, используя Перенаправление порта.

Как вы думаете, эта установка безопасна? Можете ли вы предложить какие-либо улучшения или лучший / безопасный подход?

Я хотел бы быть уверен, что если одна из виртуальных машин будет скомпрометирована, злоумышленник не достигнет остальных хостов.

Для этого, в дополнение к надлежащему брандмауэрутебе действительно нужно свирт, который поставляется с KVM-хостом RHEL6 / CentOS 6 прямо из коробки. Он даже включен и работает по умолчанию. Я понятия не имею, доступен ли он даже с установкой Ubuntu.